contoso.local과 같은 각 CORP 도메인에 대해 PRIV 및 CONTOSO 도메인 컨트롤러는 트러스트에 의해 바인딩되어야 합니다. 이렇게 하면 PRIV 도메인의 사용자가 CORP 도메인의 리소스에 액세스할 수 있습니다.
각 도메인 컨트롤러를 각각의 상대 도메인 컨트롤러에 연결
트러스트를 설정하기 전에 각 도메인 컨트롤러는 다른 도메인 컨트롤러/DNS 서버의 IP 주소를 기반으로 해당 도메인 컨트롤러의 DNS 이름 확인을 위해 구성되어야 합니다.
MIM 소프트웨어가 있는 도메인 컨트롤러 또는 서버가 가상 머신으로 배포되는 경우 해당 컴퓨터에 도메인 명명 서비스를 제공하는 다른 DNS 서버가 없는지 확인합니다.
- 가상 머신에 공용 네트워크에 연결된 네트워크 인터페이스를 포함하여 여러 네트워크 인터페이스가 있는 경우 일시적으로 해당 연결을 사용하지 않도록 설정하거나 Windows 네트워크 인터페이스 설정을 재정의해야 할 수 있습니다. DHCP 제공 DNS 서버 주소가 가상 머신에서 사용되지 않도록 하는 것이 중요합니다.
각 기존 CORP 도메인 컨트롤러가 PRIV 포리스트에 이름을 라우팅할 수 있는지 확인합니다. CORPDC와 같은 PRIV 포리스트 외부의 각 도메인 컨트롤러에서 PowerShell을 시작하고 다음 명령을 입력합니다.
nslookup -qt=ns priv.contoso.local.출력이 올바른 IP 주소를 가진 PRIV 도메인에 대한 이름 서버 레코드를 나타내는지 확인합니다.
도메인 컨트롤러가 PRIV 도메인을 라우팅할 수 없는 경우 DNS 관리자(애플리케이션 도구>DNS>)를 사용하여 PRIV 도메인에 대한 DNS 이름을 PRIVDC의 IP 주소로 전달하도록 구성합니다. 우수한 도메인(예: contoso.local)인 경우 CORPDC>정방향 조회 영역>contoso.local과 같은 이 도메인 컨트롤러 및 해당 도메인에 대한 노드를 확장하고 priv 라는 키가 NS(이름 서버) 형식으로 있는지 확인합니다.
PAMSRV에 대한 신뢰 설정
PAMSRV에서 CORP 도메인 컨트롤러가 PRIV 포리스트를 신뢰할 수 있도록 CORPDC와 같은 각 도메인과의 단방향 트러스트를 설정합니다.
PRIV 도메인 관리자(PRIV\Administrator)로 PAMSRV에 로그인합니다.
PowerShell을 시작합니다.
각 기존 포리스트에 대해 다음 PowerShell 명령을 입력합니다. 메시지가 표시되면 CORP 도메인 관리자(CONTOSO\Administrator)에 대한 자격 증명을 입력합니다.
$ca = get-credential New-PAMTrust -SourceForest "contoso.local" -Credentials $ca기존 포리스트의 각 도메인에 대해 다음 명령을 입력합니다.
netdom trust contoso.local /domain:priv.contoso.local /enablesidhistory:yes /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /quarantine:no /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /enablepimtrust:yes /usero:contoso\administrator /passwordo:Pass@word1
기존 Active Directory 포리스트에 대한 읽기 액세스 권한 부여
각 기존 포리스트마다 PRIV 관리자 및 모니터링 서비스가 AD에 대한 읽기 액세스를 할 수 있도록 설정합니다.
해당 포리스트의 최상위 도메인에 대한 도메인 관리자(Contoso\Administrator)로 기존 CORPDC(CORP 포리스트 도메인 컨트롤러)에 로그인합니다.
Active Directory 사용자 및 컴퓨터를 시작합니다.
contoso.local 도메인을 마우스 오른쪽 단추로 클릭하고 제어 위임을 선택합니다.
선택한 사용자 및 그룹 탭에서 추가를 클릭합니다.
사용자, 컴퓨터 또는 그룹 선택 창에서 위치를 클릭하고 위치를priv.contoso.local로 변경합니다. 개체 이름에 Domain Admins을 입력한 후, 이름 확인을 클릭하세요. 팝업이 나타나면 사용자 이름 priv\administrator 및 해당 암호를 입력합니다.
도메인 관리자 다음에 "MIMMonitor"를 추가합니다. Domain Admins 및 MIMMonitor 이름에 밑줄이 그어지면 [확인]을 클릭한 다음 [다음]을 클릭합니다.
일반적인 작업 목록에서 모든 사용자 정보읽은 후 다음을 클릭하고 마침을 클릭하십시오.
Active Directory 사용자 및 컴퓨터를 닫습니다.
PowerShell 창을 엽니다.
SID 기록을 사용하도록 설정하고 SID 필터링을 사용하지 않도록 설정하는 데 사용합니다
netdom. 유형:netdom trust contoso.local /quarantine:no /domain priv.contoso.local netdom trust /enablesidhistory:yes /domain priv.contoso.local출력은 이 트러스트에 대해 SID 기록을 사용하도록 설정 하거나 SID 기록이 이 트러스트에 대해 이미 사용하도록 설정되어 있다고 말해야 합니다.
또한 출력은 SID 필터링이 이 트러스트에 대해 사용하도록 설정되지 않았음을 나타내야 합니다. 자세한 내용은 SID 필터 격리 사용 안 함을 참조하세요.
모니터링 및 구성 요소 서비스 시작
PRIV 도메인 관리자(PRIV\Administrator)로 PAMSRV에 로그인합니다.
PowerShell을 시작합니다.
다음 PowerShell 명령을 입력합니다.
net start "PAM Component service" net start "PAM Monitoring service"
다음 단계에서는 그룹을 PAM으로 이동합니다.